Модель угроз ФСТЭК пошагово: как разработать по методике 2021 года
Пошаговый порядок разработки модели угроз безопасности информации по методике ФСТЭК России 2021 года: от определения негативных последствий и объектов воздействия к оценке нарушителей, способам и сценариям реализации угроз и определению их актуальности. Что использовать (Банк данных угроз, УБИ), как оформить и когда актуализировать модель.
Модель угроз безопасности информации — обязательный документ при защите ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств., ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК. и значимых объектов КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ.: на её основе выбирают меры защиты. Разрабатывают её по методике ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России 2021 года. Разберём порядок работы пошагово.
Подход методики 2021 года
Методический документ «Методика оценки угроз безопасности информации» (утверждён ФСТЭК России 5 февраля 2021 года) сменил прежний подход: отправная точка теперь — не абстрактный перечень угроз, а негативные последствия, которые нельзя допустить, и объекты, воздействие на которые к ним приведёт. Что именно изменилось — в статье о методике 2021 года.
Пошаговый порядок
- Определить область оценки. Опишите информационные системы и их характеристики (ИСПДн, ГИС, АСУ, объекты КИИ), архитектуру, обрабатываемую информацию и границы, в которых оцениваются угрозы.
- Определить негативные последствия. Исходя из основных (критических) процессов, определите виды рисков и недопустимые последствия — ущерб гражданам, организации или государству, к которому может привести реализация угроз.
- Выявить объекты воздействия. Определите компоненты систем, информацию и интерфейсы, воздействие на которые приведёт к негативным последствиям, а также виды такого воздействия (нарушение конфиденциальности, целостности, доступности).
- Оценить источники угроз. Определите источники — антропогенные (нарушители), техногенные и природные. Для нарушителей укажите виды (внешние и внутренние), категории, цели и возможности (потенциал).
- Определить способы реализации угроз. Сопоставьте объектам воздействия возможные способы (тактики и техники) с учётом возможностей нарушителей. Источник актуальных данных — Банк данных угроз ФСТЭК (угрозы УБИ) и приложения к методике.
- Сформировать сценарии реализации угроз. Постройте цепочки «нарушитель → способ → объект воздействия → негативное последствие». Именно наличие реализуемого сценария определяет актуальность угрозы.
- Оформить модель угроз. Задокументируйте перечень актуальных угроз с обоснованием; модель угроз становится основанием для выбора мер защиты (приказ ФСТЭК №21 для ИСПДн и другие в зависимости от режима).
Когда угроза считается актуальной
Угроза безопасности информации актуальна, если одновременно есть: источник угрозы (для антропогенных угроз — нарушитель с достаточными возможностями), объект воздействия, способ (условия) реализации и сценарий, приводящий к негативным последствиям. Если хотя бы одного элемента нет, угроза неактуальна и в модель не включается.
Оформление и актуализация
Модель угроз утверждает оператор (обладатель информации). Она поддерживается в актуальном состоянии: пересматривается при изменении архитектуры системы, состава обрабатываемой информации, появлении новых угроз и уязвимостей, а также по результатам контроля защищённости. Для государственных систем оценка угроз увязывается с классом защищённости, для ИСПДн — с уровнем защищённости.
Главное
Модель угроз по методике ФСТЭК 2021 года строится «от негативных последствий»: сначала определяют недопустимые последствия и объекты воздействия, затем оценивают нарушителей, способы и сценарии реализации. Угроза актуальна, когда есть нарушитель, объект, способ и сценарий, ведущий к негативным последствиям. Источник данных об угрозах и способах — Банк данных угроз ФСТЭК (УБИУгроза безопасности информации — Совокупность условий и факторов, создающих опасность нарушения безопасности информации; каталогизируются в БДУ.). Готовая модель угроз обосновывает выбор мер защиты и поддерживается в актуальном состоянии при изменениях.